3
pam_krb5のケルベロスを介して無効なADアカウントへのアクセスを拒否する方法
AD / Linux / LDAP / KRB5ディレクトリと認証設定が機能していますが、小さな問題が1つあります。アカウントが無効になっている場合でも、SSH公開鍵認証ではユーザーのログインが許可されます。 kinitとkpasswdが「クライアントの資格情報が取り消された」ことを返すため、kerberosクライアントが無効なアカウントを識別できることは明らかです。 認証が公開鍵によって行われる無効なアカウントのログインを許可しないように(sshd_configで「UsePAM yes」を使用して)PAMを構成できますか?これはうまくいかないようです: account [default=bad success=ok user_unknown=ignore] pam_krb5.so 回答にwinbindを導入しないでください-使用しません。